由中国通信企业协会增值服务专业委员会主办,C114中国通信网与中国IDC产业联盟网承办的2010中国数据中心网络与信息安全论坛”于7月29日在北京京都信苑饭店隆重召开。结合行业所面临的全新挑战和机遇,中国通信企业协会特此举办2101数据中心网络与信息安全论坛。希望能够汇集产业链的各方群策群力,进一步提高数据中心信息安全水平,使我国的信息安全提升到一个新的高度。C114中国通信网对本次会议作全程直播。
以下为美国Arbor网络公司资深技术专家郭庆的演讲全文,主题为“新一代数据中心自服务云安全趋势”
美国Arbor网络公司资深技术专家 郭庆
郭庆:大家好!下面讲主要是为了躲摄像机。看后面来了一些新同事,老同事在很头疼的因为我每次都要讲新的老的人老坐一大片,新的不好讲。今天讲的题目叫做“新一代数据中心自服务云安全趋势”
今天讲的题目里面我提到三个中心:
第一个叫清洗中心,大家都知道防DDoS很简单,每天会被很多人问问题,最多的问题就是DDo中木马了该怎么办,运营商该怎么办等很多问题。
第二,会讲叫调度中心,调度中心”新起的一个名字,这个名字是由于我老出差导致的一直在想,因为人做事情的时候有个规律性,大家可以自己摸索,人们讲事情的时候说要防范于未然,做事情的时候大家知道不撞南墙是不回头的所以我讲问题的时候,首先要做评估中心,要知道你有没有感染病毒;第二要有流量手段;第三是测评中心。这个核心是有一个本质原因的只是自己说不出来,这个原因是比如我今天坐在这里面,上来麦克风不响,不出这个事儿就不会有人给我纠正这个事儿,如果出这个事儿,就会提前有人跟我讲。
这是为什么?跟大家讲个原因,人们出了事情以后去解决问题是成本最低的解决方案,永远不要指望说没事啥也不干,天天去看病不工作,不吃饭,不跟大家玩,不可能的人们主要的工作是玩、休息,但是没办法,得工作挣钱去玩,又没办法,就倒过来了所以我讲技术中心会成为第一个解决的办法。
茫然的目光,仰望云端。中午吃饭的时候,大家说云安全是个什么东西?很多人会讲虚拟化、调度。刚才我讲到什么叫云安全?云安全的最终体现形式就是要改变一个产业模式,这个产业模式,上午有同事提到叫SaaS现在讲一下增值服务跟SaaS有什么区别?运营商说我要提供一个增值服务,和我提供SaaS有什么区别?SaaS自服务的什么叫云?云的表现形式就是自服务,一旦有了这个服务,可以自己操控这个服务,当然这是理想。不是说今天受到DDoS攻击了说打一电话,电信我被攻击了请你帮帮忙,不是这样的被攻击的时候,突然想起来电信给我一账号,一直用不上,今天终于被攻击了赶快得登陆进去,流量很高,再按一个按纽,流量下来了再一看报表,OK这就叫SaaS
听起来很炫,也不是做不到事情做还是不做,重要的点是时机到不到什么叫时机到还是不到大家知道什么时候该做一件事儿,什么时候不该做一件事呢?无聊的时候做很多事儿,重要的做这件事情的时候,底性价比投入是不是有产出。就像我刚才讲的一样,可以做很多种防御,没产出,没有人去买单,得我自己买单,把我自己的现金流弄的很不好,这是很严重的问题。
前面开场白讲一点点偏的东西,主要是所有人能够听得明白,下面开始讲技术,因为我毕竟是干技术的不讲技术手痒。
第一个叫清洗中心,清洗中心的核心技术就是BGPPeer所有的东西都是一样的大同小异。当你受到攻击的时候,把流量倒到清洗中心,清洗中心侵袭完以后送回来,流量不够这个设备,其他人没有受攻击的时候,不会因为你这个设备的宕机而有问题,这就叫清洗中心。
旁路的还有什么特点?最主要是给谁用的给运营商用的因为运营商的流量是不停的增大,不敢贸然往上面串一个东西。为什么它先做呢?就是因为它商业模式非常成立,只要帮你挡住了攻击,就得有所表现。这就是为什么清洗中心先行的目的
这是网上常看的图,路由器后面交换机,交换机后面防火墙,防火墙后面IPSIPS后面Server但是大家有没有想每一个设备是做什么的买一个设备的时候,以前我常讲一个词叫“名定乾坤”大部分人是不知道大干什么的知道买防火墙是干什么的为什么要买IPS为什么要买Firewal都是有基础的出发原因的
防火墙1990年以色列人干的这个人出了一个主意,基于路由器,能保持状态防火墙在中国的广泛应用就是三大应用,ACL很多防火墙只是设设端口而已。IPS谁知道做什么用的IPS入侵检测系统,系统被入侵了装个IPS最主要的现在大家都在谈的叫CQ注入,防的不太好,怎么办?又出来一个叫Web因为我怕网页被人改了这一圈的东西叫做状态设备,什么叫状态设备?状态设备是说每一个人来和回,要记录它从这儿来,要记录从这儿回。
状态设备最大的问题就是大流量冲击的情况下,大PPS冲击的情况下,自己会宕机,还没有得网络宕呢,自己先死了为什么出清洗中心?就是因为很多DDo改掉防火墙,由于你串联的纵有宏观本事,把你带宽堵塞,也没办法。
怎么办?起了一个名字叫调度中心,因为我机场的时候常常会起飞不了每天都会说对不起,现在天气原因,也不知道什么原因,反正是起飞不了等着调度,流量往哪儿送,这批人去哪儿,这批人上哪个航班。就想调度这个词可以用一下,以前常常只是分析流量流向,底平时去哪儿,干什么是知道的当我只知道有异常了没办法,打一电话说,请你小刘去加个班,把把网线,看看哪里还了调度中心一定要有异常的时候,一定要知道这个流量要送到DPI过QS现在这个状况要博客原地址,现在这个状况因为买了服务的要送到技术中心,现在这个状况流量往哪儿走,这就是调度中心的核心思想。这个名字虽然只起了一个月,但是能力有限,再也起不了其他名字。
第三步,起了一个简单的名字,以前大家会说网络做个评估,很多人会告诉我网络感染,怎么去防?很多人告诉你装软件,杀病毒,360杀吧。评估中心指这个(BaoNet两种形式,一种是每天看看你应用层披露的什么,另外就看你有没有行动。所谓的方式就是当你用IDC里面,怎么知道数据泄露了呢?举个简单例子,IDC里面,装了这个系统,说对不起,200个IDC昨天晚上1433端口宕漏了15兆流量,但里面是什么内容我不知道,但看出流量,去那个端口,知道什么时间干的不知道,自己查一查,反正网络上有流量过去。BaoNet什么概念呢?说当一个人感染的时候,会一下连10个人这10个人又一下连50个人。就简单定义一下规则。
可以讲行为分析,美国人喜欢叫行为分析,中国人喜欢叫关系,发生什么关系了讲这是最终的结果。
当你要看全网的时候,常常听(SCA 概念,为什么叫(SCA 没有运营的概念,运营是什么概念?不是说收到SCA 以后打电话出去,因为送给你时候,很多事情已经发生过了不是以前所有的设备都是有用的也不是说以前所有的设备很可能没有用在该用的地方。所以我会讲NetflowNetflow就是全网流量变化的图,怎么来的90年的时候,2000年的时候,密西根大学几个教授,计算机主任打电话给思科,思科说我要做一个路由器,说你要做个东西叫Netflow比如说陕西省今天去了四川省是多少,上海市是多少,通过Netflow把这个收到看全网。
当你看到该怎么办呢?讲到技术的核心问题,很多人问到底运营什么?第一个问题就是一般人受到攻击以后,第一个打电话给是谁攻击了常常问这个问题,谁攻击了底重不重要?所谓的溯源就是从IP地址,很多人说IP地址是假的但是Netflow会告诉你从几杆几端口上来的如果电信做了PF更不可能用假地址。
调度的时候会有几种方向,给大家讲三种场景,这一百个地址干的如果我明确知道这一百个地址不是假的有两个操作,第一个操作直接一百的地址到原端去。这个事情为什么现在不能实施?主要是运营方面需要策略支持,攻击定了撤不撤策略?这是很多的问题。
一般以前电信处理方法是这样的今天受到一个大攻击,比如10个G电信首选是Blackhol很多客户不干,那你需要买个服务,买个服务就买个清洗中心。
第二点当有个攻击影响到骨干网的时候,要想清楚这个东西我要保护用户还是保护自己,当然首要是保护自己,自己都挂了底下成千上万的客户挂了先保护自己,再保护客户,客户首先保护大客户,交了钱的客户,其次才是其他客户,不是说大家不管,有一个次序。管的方式,具体的技术,当你知道源的时候会下ACL下ACL卡在哪里会知道。说别人的设备,A家的B家的C家的能都认识ACL吗?又不是一个厂家的ACL下起来很困难。
清洗中心,最解决问题的也是最有商业价值的也是最可操作的也大家被广泛接受的所以清洗中心就变成了卖增值服务的首选。一旦看增值服务,大家都放清洗中心。听起来也科学,做起来也科学,听起来放在旁边不影响你没有单点故障,做起来确实也放心,机器宕了没关系。一个事情要成,听起来要科学,做起来要更科学,难就难在这儿,很多东西听起来科学,做起来不行,这是核心的问题。
讲清洗中心的下一步,现在都叫云,叫“云”清洗,有的时候人家邀请函过来都给说给我叫云,云安全。云有很多技术,虚拟化、调度,有很多核心的技术,但最终表现的自服务,最终表现形式是给我开辟一块空间我自己能够操作,但是要做到自服务有多难,大家都不是专家,也不是上去什么什么技术截面,那我看不懂。马上告诉我一个波形图,这合适。
云清洗跟以前的清洗中心有什么区别?四大区别,第一大以前的清洗中心不知道正常流量是什么,现在知道正常是什么才知道异常。第二个当你发现攻击的时候,有一个机会,这个数据库干什么用的简称叫双因素认证。当你发现一千个地址攻击你时候,讲Glabao但你有点担心,怕弄错了很好的情况是有一个数据库,这一千个数据库一直在黑名单里面,今天攻击我不能确认,库里面一看,确实历史记录也很差,就冒险给它干一下。
这就是讲的数据库,昨天截的可以看到Botent库里面,所谓的僵尸主库,15分钟以后又变了得知道库里面是什么东西。
清洗中心这个理念就是防DDoS吗?也不全是做过网管最清楚了长期的电话是郭庆我现在网络很慢,怎么回事?所以你有时候要做的不一定是攻击。要知道它底是LTT丢包还是哪个包,这是第一步,要看出来是攻击那就OK
第一是一体化,第二你要有新的数据库,第三个你要知道我能够做整个的分析,能够扩张,第四最终的目的要做自服务系统。
未来,Anti-DDo今天题目叫趋势,这个东西也就是上个月美国开会的时候定的这个事情,下一步怎么做?有两种思路,第一种思路,终端的设备应该触发云端。有人提出用DPI基层连不了就用云端的底下的设备永远是串联的看到上面就Glabao掉。这看似很简单,实际上是要求遇到三个问题,第一个问题很简单,就是骨干网,客户先买的清洗中心,已经部署很多了后来调度中心,知道流量往哪儿送;第三步要做清洗中心,当我发现异常的时候,底下的设备怎么让云端清洗。很多人问我为什么要这么做?串联设备有什么好处?能过滤7层,有什么缺点?都是大流量,一冲就死了网就断了怎么办?所以一定要发现现在应用层攻击,DB云端就不用管了但对不起,突然增大,突然来了一百兆,或者突然来了一万个PPS流速很快,流量大,这就是CloudSiganl这个东西是谁家的都买你家的不可能,这就叫Cloud做个软件,买了东西,有可以触发他只要PPS超过多少,帮你干。如果你发两个包,都找不到什么原因,不要找我因为我只管大流量的攻击,不管底下的
今天是头一次讲这个,这只是一个我想的一个方式,当然我也自己要身体力行去做,成功的那一天就是所有人都做了这个方式。当调度中心成功的时候,所有人都知道说有一个概念叫调度中心。如果下一次有机会,下一个会上配碰到大家的话,跟大家讲讲(BaoNet)。
清洗中心里面很多人告诉你Sucurlog一是事后,二不帮我解决问题,第三个那个东西在图上和我以前本质没有区别,主要是解放生产力,而不是大机房去干什么,如果SOC能建设成功的可以建成MSSP只是给你一个方子,方子是账号,自己处理。
总结一下,讲今天的情况,三个中心,中心”这个词我最喜欢用,因为它代表了一个有依靠,能够解决问题,而且成本低的表现。中心是核心的表现。如果是分布式的解决方案,给人第一个印象是成本无数,控制管理困难,然后分散,没有办法集中统一。所以提到第一个,如果用到DDoS怎么办?要清洗中心,清洗中心怎么做?下一步云清洗。第二个调度中心,调度中心要根据流量,触发到底是送给清洗中心还是Blackhol还是送给DPI还是送给谁,要控制流量的走向。未来我能够卖得很好的服务,关键是把一个好的技术倒向良性循环,不是说忽悠这件事儿按。很多技术导不上良性循环,客户不承认它价值,运营商很累,做了很多工作,不承认,因为没解决他核心问题。所以最后讲,一定要有一个决策体系,最后的结局就是Cloud最后是说解放了也解放了变成了自服务。
谢谢大家!